Remote Service Solution Descrizione del Servizio Redattore: Alberto Redi Luogo e Data Lugano, 25 Novembre 2008 Status: Finale All attenzione di: Protocollo: Security Lab Sagl ViaGreina 2 - CH 6900 Lugano - N.IVA 597 400Pagina 1 di 12
1. INDICE 1. INDICE...2 2. Oggetto e ambito del DOCUMENTO...3 3. DESCRIZIONE DEL SERVIZIO...4 3.1. Architettura:...4 3.2. Implementazione...8 3.3. Erogazione del servizio...8 4. PROPOSTA ECONOMICA...9 Security Lab Sagl ViaGreina 2 - CH 6900 Lugano - N.IVA 597 400Pagina 2 di 12
2. Oggetto e ambito del DOCUMENTO Il presente documento descrive la proposta di Security Lab per un sistema di gestione di documenti e files remotizzata e sicura. La soluzione si articola in due distinte fasi, nella prima si provvederà alla configurazione e messa in opera del servizio mentre nella seconda si effettuerà l erogazione e manutenzione del servizio medesimo. Security Lab Sagl ViaGreina 2 - CH 6900 Lugano - N.IVA 597 400Pagina 3 di 12
3. DESCRIZIONE DEL SERVIZIO Il servizio prevede la creazione di una rete altamente protetta situata presso lprimario ISP, a cui alcune persone indicate dal Cliente potranno collegarsi in maniera sicura e protetta tramite internet, sia dalla sede del cliente che da qualsiasi postazione internet. Il servizio renderà disponibile ad ogni utente un ambiente di lavoro basato su piattaforma Microsoft comprensiva della suite di produttività aziendale Office. Il sistema sarà configurato inoltre per fornire un servizio di posta elettronica interna all ambiente che potrà essere messo in comunicazione diretta con l esterno e/o con la posta internet oppure no, in funzione dei requisiti concordati con il cliente. Per la massima sicurezza e riservatezza dei dati da proteggere, si consiglia di non mettere in comunicazione l ambiente di posta elettronica interno con la normale posta internet. Su richiesta del cliente sarà comunque possibile abilitare un apposito client di posta elettronica per l accesso a caselle di posta elettronica internet che saranno indicate dal Cliente e accedibili tramite servizi di webmail o protocolli POP3 o IMAP4 per la posta in entrata, e SMTP per la posta in uscita. L accesso da parte dell utente al sistema dovrà e potrà essere effettuato tramite internet attraverso una comunicazione protetta per tramite di una SSL-VPN che garantisce la confidenzialità delle informazioni in transito sulla rete di trasporto, attraverso consolidati algoritmi di encripting allo stato dell arte. L autenticazione dell utenza al sistema avverrà tramite l utilizzo di token di autenticazione hardware in grado di generare una password di comunicazione differente per ogni sessione. Lato della postazione dell utente viene richiesta unicamente la disponibilità di un browser internet in grado di supportare java runtime. 3.1. Architettura: L architettura proposta consente al cliente di avere un servizio di email e data storage remoto accedibile tramite un sistema di VPN effettuato via SSL (HTTPS). Questo sistema consente di non dover installare nessuna componente sui client degli utenti che dovranno connettersi in quanto il client è il browser dell utente stesso. L utente sarà autenticato tramite un meccanismo di autenticazione forte basato su token che generano una one time password ad ogni connessione. Solo la conoscenza di un codice personale (PIN) e del codice generato dal token di autenticazione consentirà all utente la connessione al sistema. Una volta che l utente ha stabilito un canale VPN sarà effettuato un collegamento ad un sistema di terminal server microsoft che consentirà all utente di avere a disposizione sul sistema la suite office completa ed del client di posta elettronica outlook che comunicherà con il server di posta interno del sistema. Ogni utente del sistema avrà un suo account personale, una casella di posta elettronica ed un cartella di rete dove salvare i propri documenti. A richiesta del cliente potranno essere definite delle cartelle condivise tra i vari utenti. Security Lab Sagl ViaGreina 2 - CH 6900 Lugano - N.IVA 597 400Pagina 4 di 12
Salvo che il cliente non decida diversamente il sistema di posta elettronica impiegato non avrà scambi di posta con il mondo esterno (sistema chiuso). All occorrenza potrà essere definito la necessità di avere posta entrante e/o uscente verso internet e/o verso mittenti e destinatari prefissati. Il sistema per default non consentirà scambi di file tra le postazioni client ed il terminal server ne la possibilità di effettuare stampe. Qualora questo fosse necessario sarà possibile far stampare gli utenti su stampanti visibili dal loro client (remote printer). Sarà possibile abilitare solo per alcuni utenti la possibilità di effettuare un download o upload di documenti, anche se consigliamo per motivi di sicurezza di evitare il piu possibile comunicazioni di questa tipologia. Normalmente, nel caso di upload di documenti, suggeriamo l abilitazione di un singolo utente amministratore da parte del cliente, e per un periodo limitato ad eseguire l ìoperazione necessaria L architettura di massima proposta per la soluzione è indicata nel seguente schema: Security Lab Sagl ViaGreina 2 - CH 6900 Lugano - N.IVA 597 400Pagina 5 di 12
Nota bene : l architettura proposta nel disegno è indicativa. Essa puo subire variazioni in base alle esigenze dello specifico progetto oppure per evoluzioni tecnologiche che suggeriscano differenti architetture o prodotti Come si può osservare è presente un sistema di firewall atto a proteggere il perimetro del sistema. Allo scopo si utilizzerà una appliance dedicata che potrà anche prevedere una porta dedicata DMZ, nel caso in cui si voglia anche implementare un internet server per il sito web del cliente, senza incorrere a rischi per la sicurezza dei dati nel caso di un attacco al sito web. All interno del firewall viene inserito il server di VPN SSL che consente di effettuare poi la connessione ai sistemi interni, in particolar modo al terminal server che gestisce l accesso degli utenti. Quale soluzione di SSLVPN si impiegherà il prodotto SSLExplorer Enterprise (o alre soluzioni analoghe). Security Lab Sagl ViaGreina 2 - CH 6900 Lugano - N.IVA 597 400Pagina 6 di 12
Il software SSL Explorer è disponibile sia per la piattaforma Linux che Windows 2003. Al fine di creare un doppio livello di sicurezza rispetto alla struttura interna sarà impiegato Linux in configurazione firewall. Questa componente software viene installata su server in tecnologia x86. Le caratteristiche richieste per il server sono: singolo processore dual core velocità 2.0Ghz o superiore, 4 Gbyte di RAM 2 HDD SATA 146Gbyte RAID 1, 2 interfacce di rete 10/100/1000, alimentazione ridondata. La rete interna è composta da 2 server. Il primo sistema fungerà da terminal server. Su questo sistema dovrà essere installato Windows 2003 e la suite office. Il secondo sistema fungerà da file server, mail server e authentication server. I dati veri e propri degli utenti (casella di posta e file di ufficio) saranno presenti su questo sistema. Per questo motivo questo server dovrà essere dotato di una adeguata soluzione di backup che consenta di effettuare una replica dei dati presenti sul server su un ulteriore dispositivo per motivi di sicurezza. Per il terminal server è necessario adottare un server con architettura x86 con processore quad core con velocità di almeno 2 Ghz, 4 Gbyte di ram e 2 HDD da 500 Gbyte in configurazione RAID 1. Per il mail server/file server è necessario adottare un server con architettura x86 con processore quadl core con velocità di almeno 2 Ghz, 4 Gbyte di ram e 2 HDD da 500 Gbyte in configurazione RAID 1. Sul server di posta sarà anche installato il software di gestione dei token di autenticazione. La soluzione scelta è il sistema di autenticazione ActivIdentity 4TRESS AAA Server con token di tipo ActivIdentity MiniToken. Security Lab Sagl ViaGreina 2 - CH 6900 Lugano - N.IVA 597 400Pagina 7 di 12
3.2. Implementazione La fase iniziale di progetto consiste nella preparazione dei sistemi e la configurazione dei dispositivi, il system test. Questa fase sarà effettuata presso il provider selezionato da Security Lab. 3.3. Erogazione del servizio Una volta preparata e collaudata l infrastruttura il Cliente potrà utilizzare l infrastruttura identificando gli utenti che vi dovranno accedere. Una volta identificato il personale il Cliente provvederà a comunicarlo al Security Lab che predisporrà le adeguate configurazione e ad inizializzare il dispositivo di autenticazione (token). Security Lab fornirà al Cliente il token di autenticazione e le credenziali affinché l utenza possa iniziare ad operare con il sistema. Durante la fase di consegna dei token è previsto un corso di spiegazione per l utente al fine di illustrare il funzionamento del meccanismo e le modalità di accesso, oltre ad un sintetico manuale che illustra la procedura di accesso al sistema. Una volta definite le utenze e fornite le credenziali di accesso all utenza è possibile iniziare ad usare effettivamente il servizio. Security Lab si occuperà della manutenzione dei sistemi per conto dell utente e farà da tramite tra il Cliente e i fornitori terzi (quali ad esempio il servizio di connettività internet). Il canone di servizio include la manutenzione ordinaria del sistema dal punto di vista sistemistico e il monitoraggio continuo della piattaforma al fine di rilevare qualsiasi malfunzionamento hwr e swr, tentativo di intrusione, criticità, ma esclude esplicitamente operazioni straordinarie quali ad esempio l installazioni di nuovi software sulla piattaforma, che dovranno essere valutate di volta in volta. Security Lab Sagl ViaGreina 2 - CH 6900 Lugano - N.IVA 597 400Pagina 8 di 12
4. PROPOSTA ECONOMICA Il costo del servizio indicato è composto da quattro componenti distinte: Acquisto del materiale e dell hw e sw necessario all implementazione del servizio Attività di consulenza per l installazione e messa in opera del servizio fino alla fase di collaudo Costo mensile del servizio Costo giornaliero per eventuali attività di assistenza sistemistica aggiuntiva Costo swap cassetta settimanale e custodia in cassetta di sicurezza Security Lab Sagl ViaGreina 2 - CH 6900 Lugano - N.IVA 597 400Pagina 9 di 12
Acquisto materiale: Hardware E software Numero Descr Prezzo IN CHF Totale Costo n.3 server, unità di back-up, network switch, cavi, Firewall, ed ogni dispositivo hardware componente 25.000 l infrastruttura proposta I server hanno PS ridondati, NIC ridondate, dischi a coppie in RAID-1 TOTALE HW/SW 25.000 I prezzi indicati sono espressi in CHF e sono al netto di IVA Modalità di fatturazione: 100% all ordine Condizioni di pagamento : entro 10 gg data fattura a mezzo bonifico bancario. Installazione e configurazione: Hardware Quantità Descrizione Prezzo Unit. Totale Installazione di tutti gli apparati Configurazione sistemi operativi e software Collaudo Integrazione applicative Configurazione utenti Collaudo Formazione Consegna Eventuale trasferimento iniziale sicuro di documenti e dati Totale Servizi di installazione e configurazione CHF 12.000 I prezzi indicati sono espressi in CHF (Franchi Svizzeri) e sono al netto di IVA Modalità di fatturazione: 50% all ordine, 50% alla consegna del progetto Condizioni di pagamento : entro 10 gg data fattura a mezzo bonifico bancario. Security Lab Sagl ViaGreina 2 - CH 6900 Lugano - N.IVA 597 400Pagina 10 di 12
Servizio mensile di gestione: Servizio Costo mensile Setup fee* Connettività 2MB/s simmetriga garantita Housing in rack di proprietà di Security Lab Canoni Manutenzione Firewall e Active Identity Assistenza Sistemistica Controllo log e alerts Assistenza telefonica Swap mensile cassetta di back-up * TOTALE CHF 1250 0 * La cassetta di back-up viene cambiata mensilmente. La cassetta non in uso viene custodita da Security Lab, o dal cliente, o da fiduciaria del cliente. Per la custodia presso cassetta di sicurezza presso primario istituto di credito vedi paragrafo apposito. I prezzi indicati sono espressi in CHF (Franchi Svizzeri) e sono al netto dell IVA al 7,6% che verrà applicata in fattura. Canone mensile: Il contratto prevede una durata minima di 12 mesi dalla data di attivazione del servizio. Alla scadenza dei 12 mesi il contratto si intende tacitamente rinnovato per un ulteriore periodo di 12 mesi qualora non sia pervenuta una disdetta a mezzo raccomandata con un preavviso di almeno 3 mesi rispetto alla scadenza annuale. In caso di disdetta del contratto prima della scadenza annuale saranno fatturati al cliente i rimanenti canoni mensili fino alla chiusura annuale del contratto per mezzo di una unica fattura con pagamento 10gg lavorativi dalla data di emissione. Il pagamento dei canoni trimestrali è anticipato. Modalità di fatturazione: fatturazione trimestrale anticipata Condizioni di pagamento : entro 10 gg data fattura a mezzo bonifico bancario. Security Lab Sagl ViaGreina 2 - CH 6900 Lugano - N.IVA 597 400Pagina 11 di 12
Costi per eventuali attività addizionali : Security Lab provvederà alla manutenzione ordinaria dei sistemi tramite sistemi di accesso remoto. Manutenzioni straordinarie quali l aggiornamento/installazione di nuove o già previste applicazioni e tutte le operazioni che richiedano di effettuare degli interventi presso il datacenter faranno fatturate al Cliente a consuntivo con un costo orario di 150 Chf/ora. Il costo minimo di intervento consiste in quattro ore di intervento per un costo complessivo di 600 Chf. Modalità di fatturazione: a consuntivo mensile previa consegna rapportino attività concordate Condizioni di pagamento : entro 10 gg data fattura a mezzo bonifico bancario. Servizio di back-up swap settimanale e custodia : Questo servizio opzionale consiste nello scambio della cassetta di back-up settimanalmente e della custodia della cassetta in cassetta di sicurezza presso primario istituto di credito Il costo del servizio è di 300 CHF / Mese Modalità di fatturazione: fatturazione trimestrale anticipata (l importo viene incluso nel canone di servizio) Condizioni di pagamento : entro 10 gg data fattura a mezzo bonifico bancario. Security Lab Sagl ViaGreina 2 - CH 6900 Lugano - N.IVA 597 400Pagina 12 di 12